Menü
Alert!

VMWare schließt Schwachstellen in ESXi, Workstation und Fusion

Zwei ernste Schwachstellen in älteren Versionen von VMWares Virtualisierungslösungen betreffen Windows-, Linux- und macOS-Hosts.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 9 Beiträge

(Bild: Shutterstock / Quardia)

Von

VMWare hat einen Sicherheitshinweis zu zwei Schwachstellen in älteren Versionen seiner Virtualisierungsplattformen ESXi, Workstation Pro und Player (Windows, Linux) sowie Fusion und Fusion Pro (macOS) veröffentlicht. Die von ihnen ausgehende Gefahr hängt von der jeweiligen Software-Version ab und reicht von "Medium" (CVSS-v3-Score 6.3) bis "High" (CVSS-v3-Score 7.7 / 8.5). Der Hersteller rät zur zeitnahen Aktualisierung der Software.

Beide Schwachstellen betreffen die Pixel-Shader-Komponente der Software-Produkte und sind laut VMWares Security Advisory nur bei aktivierter 3D-Grafik ausnutzbar.

Zusätzlich setzt ein Exploit der (gefährlicheren) Schwachstelle CVE-2019-5684 voraus, dass im Zielsystem eine NVIDIA-Grafikkarte der GeForce-, Quadro-, NVS- oder Tesla-Serie nebst verwundbarem Treiber läuft. Der Grafikkartenhersteller hat bereits im Mai Aktualisierungen veröffentlicht. Eine detaillierte Übersicht über die Patches liefert NVIDIAs Security Bulletin.

Sind beide Voraussetzungen erfüllt und gelingt es einem Angreifer, Zugriff auf eine laufende virtuelle Maschine zu erlangen, könnte er via CVE-2019-5684 Code auf dem Host-System ausführen. Die zweite Schwachstelle CVE-2019-5521, die auch ohne NVIDA-Grafikkarte ausnutzbar ist, erlaubt das Abgreifen von (im Advisory nicht näher spezifizierten) Informationen. Sofern der Angreifer über normale User-Privilegien verfügt, könnte er alternativ auch einen Denial-of-Service-Zustand des Hosts provozieren.

Für die Schwachstellen anfällig sind laut Security Advisory die Versionsreihen VMWare ESXi 6.5 und 6.7, Workstation 14.x und 15.x und Fusion 10.x und 11.x. Behoben wurden sie mit den Patches ESXi650-201903001 und ESXi670-201904101-SG für ESXi 6.5 und 6.7 sowie ab den Versionen 14.1.6 und 15.0.3 (Workstation) beziehungsweise 10.1.6 und 11.0.3 (Fusion).

Die versionsabhängigen Gefahreneinstufungen sowie Download-Links zu Patches und Release Notes sind ebenfalls VMWares Advisory zu entnehmen.

Update 05.08.19,14:24: Text angepasst um zu verdeutlichen, dass die Schwachstellen in älteren Versionen der Software stecken. (ovw)